Microsoft perdió el control sobre el dominio de Windows Tiles y alguien lo tomó
- Categoría: Seguridad
Microsoft introdujo Tiles en el menú de inicio de Windows y en la página de inicio cuando lanzó el sistema operativo Windows 8. Diseñada para agregar una nota dinámica a los enlaces de programas, servicios y sitios web previamente estáticos al admitir opciones para cargar contenido nuevo en forma regular, fue una característica que nunca vio una amplia adopción por parte de los usuarios de Windows.
Muchos solo estaban expuestos a la lista predeterminada de mosaicos que Microsoft agregó a los perfiles de inicio; esto no impidió que Microsoft agregara soporte para Live Tiles a Windows 10 también. Los sitios web y los servicios también podrían admitir la función, de modo que los usuarios que los fijaron en Inicio recibirían mosaicos actualizados cada vez que hubiera nuevo contenido disponible. Si bien los mosaicos están desapareciendo, todavía son compatibles con todas las versiones recientes de Windows.
Una historia en un sitio informático alemán Golem (en inglés) describe cómo Golem consiguió un dominio responsable de la entrega de contenido de Tile a los sistemas Windows porque Microsoft no protegió adecuadamente contra lo que se llama un ataque de adquisición de subdominio.
La adquisición le dio a Golem un control total sobre el contenido que entregaba a los sistemas de los usuarios; Los usuarios de Windows 8 y 10 pueden anclar sitios web de soporte a Inicio para recibir actualizaciones cuando se publique contenido nuevo.
Golem señaló que sitios como Engadget, Mail.ru o los principales sitios de noticias alemanes Heise o Giga, admitían mosaicos como muchos otros.
Cómo se llevó a cabo el ataque
El anfitrión responsable de enviar datos a los dispositivos Windows fue Notifications.buildmypinnedsite.com; Microsoft parece haber abandonado el dominio y, aunque lo redirigió a un subdominio de Azure, nunca lo registró en Azure. Golem logró registrar el subdominio usando una cuenta normal de Azure y agregó los nombres de host correspondientes para tomar el control total sobre el servicio Tiles utilizado para entregar contenido a los dispositivos de los usuarios.
La revista se puso en contacto con Microsoft sobre el tema, pero no recibió una respuesta según el artículo. Señaló que el anfitrión recibió una 'cantidad decente de tráfico' y que Golem no mantendría al anfitrión registrado permanentemente debido a los costos de funcionamiento.
Golem detuvo la aplicación web mientras tanto, devuelve un error 403 esta aplicación web está detenida ahora para que el contenido manipulado no se pueda entregar a los dispositivos de los usuarios en ese momento.
Usuarios de Windows es posible que desee desactivar los mosaicos activos del sitio web (mira esto tutorial para Windows 8 Live Tiles ) si usan alguna como consecuencia, y los propietarios de sitios web pueden querer dejar de admitir la función también para protegerse contra posibles abusos.
Palabras de cierre
Nunca pensé mucho en Live Tiles en versiones de escritorio de Windows. Si bien se apreciaron algunas funciones, p. Ej. Al obtener un informe meteorológico actualizado al abrir Inicio, la mayor parte de la funcionalidad no tenía mucho sentido en el escritorio en mi opinión.
En mi opinión, un escenario como este nunca debería suceder, especialmente si tiene el potencial de afectar negativamente a los clientes.
Ahora tu : ¿Cuál es su opinión sobre Live Tiles o mosaicos dinámicos en general?